Sécurité : obtenir des informations confidentielles grâce à SSL

Рет қаралды 10,878

Christophe Casalegno (Brain 0verride)

Күн бұрын

Abonnez vous : / @christophecasalegno
Dans cette vidéo je vous présente un détournement possible du projet Certificate Transparency de Google destiné à améliorer la sécurité du système de certification SSL et qui permet d'obtenir des urls que certains auraient pu vouloir conserver confidentielles.
Retrouvez-moi sur Telegram : t.me/ChristopheCasalegno
KZbin
-------------------------------------------------
Ma chaîne principale : / @christophecasalegno
Ma chaîne secondaire : / @brainbazar
Musiques, covers, textes & co : / @chrisiker
Réseaux sociaux
-------------------------------------------------
Twitter : / brain0verride
Instagram : / brain0verride
TikTok : / brainoverride
Linkedin : / christophecasalegno
Facebook (Page Pro) : / brain.override
Facebook (Perso) : / christophe.casalegno
Mais également sur
-------------------------------------------------
Twitch : / brain_0verride
Discord : / discord
t.me/Brain_TechnoBar (le Technobar)
t.me/Brain0verride (mon compte Telegram)
Par email : brain@christophe-casalegno.com
Sur le web : www.christophe-casalegno.com

Пікірлер: 32

@LinuxCyberLabsFrancophone 2 жыл бұрын

Un ovni cette chaîne ... Merci 😉🐧 🛸

@guillaumebernal6141 3 жыл бұрын

Vidéo très claire ; merci pour ce partage de connaissance ;-)

@ChristopheCasalegno 3 жыл бұрын

Merci Guillaume, à bientôt :)

@jonathantikafpei1039 3 жыл бұрын

Superbe vidéo Christophe 🙌

@ChristopheCasalegno 3 жыл бұрын

Merci Jonathan. Au plaisir d'échanger :)

@lossius301 3 жыл бұрын

Présentation au top, explications aussi, le seul hic dans l'histoire c'est qu'on se croirait dans un commissariat avec ce clavier ! Il est temps de passer à un logitech k800 ou mx keys :)

@ChristopheCasalegno 3 жыл бұрын

Un portage de nvidia RTX Voice sous Linux ferait le job sinon mais ça n'a pas l'air au programme...

@foxgamingzone1106 3 жыл бұрын

Master Crystophe :)

@ChristopheCasalegno 2 ай бұрын

Thanks !

@foxgamingzone1106 3 жыл бұрын

et j' utilise letencrypt comme tu dit pr pas que lkes gents est l' erreur de cadena

@ChristopheCasalegno 2 ай бұрын

ça fait le job !

@foxgamingzone1106 3 жыл бұрын

je suis florian au faite je te parle parfois en mp

@ChristopheCasalegno 2 ай бұрын

J'ai beaucoup de florian qui me parent, n'hésites pas à te manifester sur Telegram :)

@eddybash1342 3 жыл бұрын

Les informations d'un x509 sont bien publiques. Quel est le problème ?

@ChristopheCasalegno 3 жыл бұрын

Bonjour Eddy et merci pour ton message mais je ne comprends pas le rapport entre les informations contenues dans un certificat et le problème que j'évoque de la vidéo de potentiel fuite d'url ? Au plaisir d'échanger.

@eddybash1342 3 жыл бұрын

@@ChristopheCasalegno le contenu du X509 passe en plain text sur le réseau public. Si cette information est exploitée c'est de la faute des mauvais de la production et de l'infra.

@Cutty853ify 3 жыл бұрын

@@eddybash1342 Normalement pour récupérer le certificat ssl tu dois connaitre le nom DNS (pour requeter la page une première fois et effectivement télécharger ce certificat). Ce que soulève Christophe ici, c'est justement que certificate transparency permet de connaitre tous ces noms DNS. Donc en fait ce qui nous intéresse ici ce ne sont pas les certificats, mais les noms de domaine.

@foxgamingzone1106 3 жыл бұрын

j' utilise des clef paire asymetrique 4098 pr les logs personnes peut venir sans la clefs assossié

@ChristopheCasalegno 3 жыл бұрын

Perso, j'utilise des clefs de 4096 bits.

@gregoireSB93 3 жыл бұрын

Solution : faire un wildcard

@ChristopheCasalegno 3 жыл бұрын

Greg ts yes c’est une piste pour certains usecases mais considéré comme moins sur du fait qu’un même certificat peut se retrouver sur une tripotée de serveurs et donc à plus de chance d’être compromis : on ne peut pas tout avoir. note que je ne l’ai pas montré dans la vidéo pour éviter un signalement abusif mais on peut faire une recherche par entité et pas seulement par nom de domaine :/

@gregoireSB93 3 жыл бұрын

@@ChristopheCasalegno Pourquoi un même certificat sur plusieurs serveur a plus de chance d'être compromis ? Je gère un k8s cluster de 50 noeuds, j'ai un seul load balancer, un seul certificat. mais même avec plusieurs load balancer je vois pas ce que ça changerais d'avoir un ou plusieurs certificat. merci pour la vidéo

@ChristopheCasalegno 3 жыл бұрын

Greg ts toutes les infrastructures ne sont pas derriere un ou deux load balancers : on parle dans bien des cas de milliers de serveurs répartis sur des dizaines de fournisseurs et de pays différents pour un seul domaine : un serveur de plus c’est une chance supplémentaire qu’une machine puisse être compromise et que le certificat ssl qui s’y trouve le soit donc également.